随着社会、科技等的快速发展,信息、数据逐渐凸显重要位置,并且一跃成为企业重要的核心资产。信息化、数据化不断推动企业提高生产和运行效率、降低成本、增强决策效率和提高决策准确率。企业的发展越来越离不开信息化和数据化的支持,脱离了信息和数据支撑的企业极有可能快速地被整个社会所淘汰。
信息和数据的关键重要性,决定了信息安全在企业中的重要性。如何保障信息和数据的安全,也将逐渐成为企业IT部门的重要任务之一。
本文大纲:
1、信息安全缺失的影响
2、信息安全保障三板斧
3、总结
一、信息安全缺失的影响
信息安全绝非危言耸听,信息安全的缺失一般会造成数据丢失、数据泄露、数据篡改和系统不可用四个直接危害。无论哪个危害,都足以对企业的正常经营和持续盈利造成致命一击。
数据丢失:例如人力系统数据丢失,导致员工工资无法正常发放;运行系统数据丢失,导致无法了解企业生产数据量;销售数据丢失,企业无法了解销售数量、客户订货量等。数据丢失不同程度地影响着企业正常运营。
数据篡改:这意味着企业的真实数据不再真实。例如:本应发货给A的订单被篡改成发货给H。数据篡改会给企业经营带来很多不必要的麻烦,甚至是法律纠纷。
系统不可用:主要指核心系统遭受攻击或是网络遭受DDOS攻击等影响系统的正常使用,造成依赖企业IT系统的部门无法正常运转。
数据泄露:将影响企业的名誉和继续存活。数据泄露的案例众多,数据泄露对公司的信誉影响巨大,严重影响公司的未来发展。
因为安全缺失导致的企业受影响的案例数不胜数,以下是2017年比较典型的信息安全事件:
2017年2月Gitlab.com运维人员误删300G数据;
2017年3月58同城被曝简历数据泄露700元可采集全国简历信息;
2017年4月12306官方网站再现安全漏洞;
2017年5月WannaCry勒索病毒席卷全球;
2017年6月《中华人民共和国网络安全法》正式实施;
2017年7月老牌信用机构Equifax被黑1.43亿用户信息遭泄露;
2017年8月美国选民数据被泄露186万选民信息可公开下载;
2017年9月传华为被中国移动罚款5亿因技术人员误操作;
2017年10月南非现史上规模最大的数据泄露事件;
2017年11月五角大楼AWS S3配置错误致18亿用户信息泄露;
2017年12月针对企业的钓鱼邮件APT攻击爆发;
(摘自:http://www.sohu.com/a/212758058_765470)
甚至在刚刚过去的2018年一、二月份,还被爆出多家医院的核心HIS系统遭受勒索病毒攻击影响医院短时间内正常运转的事件。
危机不断,影响致命。如何做好信息安全,理论、体系架构和技术实现芸芸众多,汲取多家之长,结合自身实际情况,探索、建立出企业自身安全管理,是企业IT经营一个持续不断的任务。
二、保障信息安全问题的思路
这里给出一个总体思路以供参考:
风险管理:包括对风险进行分类,采集公司和系统可能存在的风险,对采集的风险识别以及对风险进行跟踪,管控和处理风险;
安全管理:主要以建立企业或是互联网网站安全体系为主,包括安全技术架构、安全策略、技术管理和人员管理四个方面;
安全运营:包括安全运维操作、安全体系落地、安全审计工作、安全数据分析以及安全绩效考核等。
通过体系化管理企业信息安全,做好全面防护和备份工作,在防护绝大多数安全威胁的同时,科学备份,保障数据准确无误,以此达到企业信息安全的目的。
1、风险管理
风险管理是企业信息安全管理的第一步,有风险意识、危机意识,了解风险,管理风险,进一步控制风险,将风险扼杀在摇篮中。同时,通过风险管理,了解各种类型的风险定义和各种攻击手段的攻击原理,对企业存在的风险和潜在的漏洞进行统一采集与识别,建立风险生命周期管理,确保对企业已有风险和可能造成的威胁了然于胸。
(1)风险分类
不同维度带来的风险分类也不尽相同。一般按照区域和造成安全事件的原因可以分为企业外部风险和企业内部风险。外部原因造成安全事件的风险为外部风险,内部原因造成安全事件为内部风险。
其中外部风险主要指攻击者或是攻击团体利用网站漏洞进行注入、攻击、窃取、篡改等手段对企业信息进行破坏;内部风险主要指企业内部人员误操作导致的数据风险或是外部人员通过内部人员、内部设备发起的攻击行为。不同的风险分类,有不同的防御方法。
另外,风险还包括重要系统、数据库未建立健全备份验证机制、缺少高可用支持等。
(2)风险生命周期管理
风险采集主要是指通过渗透测试、网络安全设备扫描等手段,对企业IT系统、电脑终端等设备进行按计划定期扫描,采集可能存在的安全风险和漏洞。重要系统及时备份和验证备份可用性、核心系统缺少高可用集群方案都是在风险采集过程中作为风险源进行统一采集和管理。
风险识别主要对采集上来的风险进行风险识别和建立起风险的生命周期,以便实时跟踪风险处理过程,避免遗漏和长时间未响应。
风险管理,通过对各种类别的风险进行学习,了解各种攻击原理和攻击手段,对企业已有的IT系统和各个客户端进行风险采集,对于采集上来的风险进行逐一识别,建立风险生命管理周期,解决掉风险源,以保障系统安全运行。
比较健全的风险管理系统,结合自身对风险类别、原理和危害的深刻认识,可以让企业信息安全做到一定程度的风险可控、损失可控,不至于在信息安全事件面前一脸茫然。所以,建立企业信息安全首先要做好对风险的管理,知己知彼,方可在企业信息安全防守上游刃有余。
2、安全管理
安全管理主要是企业信息安全体系的建设和管理。企业信息安全体系一般来说包括安全架构、安全策略、安全技术和人员管理。
安全架构主要是对企业结合软硬件设备和网络划分进行的信息安全架构;
安全策略是安全体系的核心,主要指包括对软硬件设备、网络、服务器、应用、数据库、客户端等IT主题日常工作的安全规范至安全体系的指导性意见,后续所有安全体系的落地都依赖于安全策略;
安全技术主要是对安全策略逐条分解,制定相应的细则规范和实际落地;
人员管理主要包括安全组织架构、人员、培训等相关管理。
通过架构、策略、技术和管理组成信息安全体系并作为公司信息安全建设指导性文件和具体落地方案,为公司安全建设指明方向和奠定落地基础,做到安全建设有据可依,有章可循。
(1)安全架构
安全架构是指与安全相关的软硬件设备进行科学组合架构,建立起公司信息安全技术架构。包括网络设备、网络区域划分、云防护、防火墙、IPS/IDS、WAF、审计、日志服务器等等,较完善的安全架构示例如下:
上图为一般大中型企业的企业信息安全架构。
云防护系统
首先是互联网接入层,将流量引流至云防护系统,作为整个安全技术架构的第一层防护,将外来访问流量做第一层清洗。云防护一般具有云WAF、抗DDOS、抗CC攻击、防篡改等功能。尤其是企业信息安全等级要求比较高的企业和网站,重要保障期间防篡改功能非常重要。
但是使用云防护也有一定的风险,主要有三:
流量首先进入第三方云平台,与云节点关系多少有关系,对网站的性能有一定的影响;
对于核心紧要的数据因为经过第三方云平台,一定程度上有泄露的风险;
云平台一般作为遭受攻击的重灾区,出现任何故障,对网站的正常访问有一定的影响;
基于以上三点,在选购云平台的时候,一定要采购云节点较多且技术较成熟的大平台;另外数据的传输使用HTTPS加密传输,避免数据被窃取;同时在部署云平台的时候,做好Bypass的部署方式,当云平台出现任何故障,将流量直接引至防火墙,避免受影响。
云防护之下是多链路接入防火墙,二者之间有时会加入一层硬件抗DDOS的防护设备做抗DDOS攻击,同时一般也会提供链路负载的功能。
防火墙
防火墙一般采用不同型号的两台作为主备避免防火墙的单点故障,有的公司使用型号相同的两台,也是可以的,比较省事,不用每一台都单独配置。一般同品牌型号的防火墙配置会自动同步,但是不同型号的防火墙一般不具有同步配置功能,需要单独配置,增加操作成本,不同型号安全性相对更加好一些。
SSL_VPN主要用于远程办公,供公司成员以及第三方合作商进行公司系统的管理和维护使用。使用SSLVPN一定要注意VPN账户的管理,现用现申请,用完即注销,坚决杜绝长时间使用同一账户和密码。
防火墙后面加一层IPS入侵防御系统作为防火墙补充,与防火墙一道对公司的内部系统、客户端等进行安全防御。如果IPS是串联接入,那么一般情况下是需要两台,每一台双链路双电源避免单点故障;如果是旁路接入的话,那么IPS则只具备IDS入侵检测的功能,对于可能的攻击威胁不做拒绝处理。同时,如果串联单节台的话,一定要选购的产品具备Bypass的功能,出现故障的时候不影响流量正常流转至下一节点。
IPS
IPS的策略管理也很重要,策略的科学完善程度决定着入侵防御的效果好坏,积极与厂商的安全专家沟通,不断根据实际情况优化改进安全策略,将入侵防御和检测功能发挥极致,确保内部系统和客户端的安全。
公司内部环境一般分三个区域:内网区域、DMZ区域、办公区域,每个区域根据实际业务情况划分不同的VLAN或是VXLAN进行管理。
内网核心交换
内网区域主要划分为数据库VLAN和应用VLAN,并在应用VLAN设有单独的日志服务器,其中应用VLAN根据不同公司的不同业务场景分为核心运行系统VLAN,如制造业的生产系统等;市场VLAN如官网、电商平台等;办公VLAN如OA、考试系统、培训系统等,以及其他VLAN,例如专门的数据分析VLAN区用于做大数据分析等相关。
内网VLAN的划分根据具体业务场景进行,单独数据库VLAN主要便于数据库权限控制和管理。日志服务器负责统一采集管理和分析各种系统的日志以便分析有用数据做经营指导、业务监控、系统审计等功能。
DMZ交换
DMZ区域主要用作部署反向代理、负载均衡和部署部分安全要求不高的应用。因为部署有反向代理和负载均衡所以一般Web请求都是先到达DMZ区域,然后反向代理至内网,故DMZ上部署WAF防火墙来防护Web系统免受攻击。
WAF部署同IPS,一般是主备两台双链路双电源,避免单点故障,单台情况下要求Bypass避免受影响。DMZ区域也部署单独的日志服务器用作日志采集和统一管理、分析。
WAF防火墙的使用与IPS亦类似,主要是防护策略的设置:设置简单起不到Web防火墙的功能,设置太复杂或是设置不准确有可能造成误杀,将本该正常的请求阻止。所以使用IPS和WAF时,一定要结合实际情况,进行安全策略的设置,以达到效果最优。
内网和DMZ区域一般部署公司的核心服务器,存储公司的核心系统、文件和数据等,所以除已有的安全设备外,还需要漏洞扫描定期扫描内部漏洞和风险,以便进行及时处理;堡垒机用于运维人员进行服务器登陆和操作;安全审计软件进行日常运维操作的审计等。
好的堡垒机或是安全审计软件可以阻止一些高危操作,如root进行rm –rf /*等类似高危操作。这俩区域作为公司内部环境的重要数据存储区,必须重点防护、定时检查、及时处理。
办公区域交换
办公区域主要是指公司的业务办公区域。办公区域一般会根据不同的楼层或是不同的部分划分不同的VLAN,并且办公区域部署防病毒服务器和WSUS升级服务器等,每一终端都部署防病毒,病毒库及时更新。
另外,为了规范管理人员上网,旁路部署上网行为管理对网络访问进行管控和分析,以企业达到员工科学、合理利用网络进行办公。
比较大点的企业会架设有企业安全感知平台或是企业安全大数据分析平台,将所有安全设备运行情况、日志等进行管理和分析作为企业安全管理和分析的入口,方便进行统一管理和运维工作。
安全架构根据不同的企业性质和业务场景也不尽相同,很多互联网企业购买的云主机更多依赖于云服务商提供的安全防范,如阿里云的云盾等;也有企业通过租赁IDC机房进行系统部署,更多依赖IDC自身的安全防护。
不同的场景安全架构不同。根据自己的实际业务部署情况和发展场景,选择最适合自己的安全部署方式运行安全防护,保障系统能够安全稳定的正常运行。
安全架构主要依托软硬件和网络、服务器等设备,通过科学区域划分和精确部署建立起企业安全防护网,同时借助日志分析、安全大数据分析平台,分析和预估企业已有可潜在的风险,在安全防护网的基础上主动出击、事前预防、立体防护,将企业的信息、数据等资产保护好。
(2)安全策略
安全策略主要作为安全建设的指导性规则,后续的安全技术和日常安全运维工作全部是为了将安全策略进行落地实施。安全策略总体分为物理安全策略、数据安全策略、网络安全策略、系统安全策略四个部分。
物理安全策略
物理安全策略主要分为机房物理安全策略和公司安全运行相关物理安全策略。
其中,机房物理安全策略要求机房的设计、建设和运维要遵循相关的规范和标准,主要有:《GB50174-2017 数据中心设计规范》、《GB 50462-2015 数据中心基础设施施工及验收规范》等国家规范以及各个行业相关要求规范。
机房建设从物理选址到防雷击、防火、防火、防潮、防静电已经机房权限控制等都是物理安全需要考虑范畴。跟公司安全运行相关的公司的安防系统、门禁管理、电话监控录音等都属于物理安全,要在物理安全策略中体现。
例如:
以上可以看出安全策略主要是针对可能出现的安全风险和日常与安全有关的工作的一些策略,同时策略的制定要求言简意赅。
数据安全策略
首先是根据业务数据的重要程度进行数据分类和分级,不同级别的数据类型保障级别也不一样。其次数据的产生、传输、使用、备份和销毁制定不同的数据安全策略,一般包括如下:
数据保密性对不同类别的数据采用不同的权限控制,尤其是核心敏感数据,采用加密处理,采用最小权限控制方法,数据操作人员需要签署数据保密条例等。
数据传输性要求数据在传输过程中不被窃取、篡改,要求加密传输,如采用HTTPS的方式等。
数据完整性、一致性、抗抵赖性要求数据的收发双方数据一致,完整不丢失,并且对于数据的修改不可抵赖,以确保数据安全。
数据备份和恢复策略要求数据必须定时备份,对于备份集定时验证其准确性,备份集的保留周期不能少于指定天数等。
数据销毁策略要求数据在进行销毁的时候,必须首先确保数据已无使用价值或是达到销毁要求,对于数据的销毁必须是完全销毁,不可再在任何地方、任何人手中继续保留该数据。同时在销毁数据时,宣布数据已无效。
网络安全策略
网络安全策略首先是网络设备安全及策略,要求网络设备如核心交换机、防火墙等必须双机、双链路、双电源等避免单点故障;交换机、防火墙等安全设备使用的时候必须先要进行安全加固、禁止多人使用同一账户维护网络设备,账户和人必须一一对应,所有网络设备名称必须唯一等等。
网络安全策略同时还对无线网络安全策略进行管理控制,例如访客网必须与其它网络隔离等;对网络访问进行详细控制,如身份鉴别等;同时对网络安全进行审计。
网络安全策略还主要包括多种网络安全设备的策略设置,一般要在基于自身经验的基础上结合厂家的经验,科学合理配置策略。
系统安全策略
系统安全策略包括终端、服务器安全相关策略、系统资源策略、应用中间件部署配置和备份等策略要求。
以密码保护策略为例,一般会有如下策略:
对于服务器一般要求必须安全加固,活动Session 5分钟内无反应需断开连接;服务器不能Root远程登陆;服务器禁止RM直接操作等等。
系统安全策略与日常系统运维有密切的关系,策略制定的完善程度,决定着系统安全的程度。与开发有关的编码规范、安全编码、SQL书写规范等都属于系统安全策略范围内。
安全策略是整个安全管理乃至整个安全体系的重要组成部分,日常安全运维工作中除了将安全策略一一落地实施外,还需根据实际业务情况和实际执行情况,进行策略的进一步评估和完善,建立健全安全策略对公司安全体系建设和保障系统安全至关重要。
(3)技术管理
技术管理主要针对物理安全策略、数据安全策略、网络安全策略、系统安全策略进行分解和技术实现,具体表现为各种安全运维相关的规范、标准和流程等。换言之,将安全策略转化为可执行的技术方案,在安全运维执行过程中,根据实际执行效果优化不断优化安全策略。
一般由安全策略演变而来的标准规范主要有:
(4)人员管理
人员管理主要包括与信息安全相关的信息安全委员会或是信息安全小组等组织管理、人员管理以及信息安全相关培训等。
人员即安全直接操作人员,如安全工程师、系统运维工程师等,和与安全有关的人员,包括公司全体员工、第三方合作方等;
组织指一般公司设有信息安全小组或是信息安全委员会,组织负责人员的培训、演练和安全体系的建立落地实施等;
培训是指安全人员或是其他安全培训资源对公司人员进行信息安全相关培训,提高人员和组织的信息安全水平,加强安全意识,与对培训的结果定期考核;
安全运维要求理论与实际相结合,按计划定期的演练实战必不可少。勤练手,在真正的安全事件面前才能有条不紊地从容应对,将公司的损失降至到最低,最大程度的保护信息和数据。
3、安全运营
企业风险管理建立、安全架构设计、安全策略制定以及技术管理和人员管理的落实,为安全运营提供运营主体。
安全运营主要包括日常安全运维工作、定期安全审计、安全数据分析以及安全绩效考核四个部分。
安全运维主要针对安全策略以及技术方案实施规范流程等在日常工作中按规操作,出现的安全事件,根据处理流程和通报流程进行应对等操作。安全运维要求日常运维管理操作必须是安全且可审计的,即日常的运维工作要定期做安全审计。
安全审计在审查日常运维操作是否合规的同时还需包括安全策略是否在实际运维过程中完全落地实现,如备份是否完善,备份验证是否定期执行,备份是否准确可用等。
对安全审计的结果、日常运维工作以及安全设备、安全平台的安全数据进行数据分析,为安全绩效考核提供数据支持,同时通过数据分析深入剖析公司安全运行情况以及人员和组织的安全绩效情况,为公司的安全建设和安全运营的进展情况提供数字化展示。
(1)安全运维
日常运维操作要遵循安全管理中安全策略和技术管理制定的标准、流程的方案。一般日常运维工作包含如下内容:
日常运维操作涉及的操作标准和流程需要在安全管理部分中有所体现。同时根据这些固定化的标准和流程可以实现运维自动化,最大程度地减少人为失误。安全运维初始阶段可能会造成运维工作的繁杂,流程、步骤较多等,但是随着自动化运维的逐渐开展,人工运维会逐渐减少,运维效率也会逐渐提高。
(2)安全审计
对于日常运维操作、安全架构和安全策略落地进度,必须要有安全审计的参与,来监督和督促安全体系的执行。
安全审计内容一般包括安全策略的执行情况,标准流程化的技术方案在日常的安全运维工作中是否得以按规实施;日志、备份是否过多地保留归档;备份验证计划是否按时校验;备份集是否准确可用,以及服务器配置、防火墙策略等相关配置和策略信息是否准确可靠等等。
简言之,安全审计就是对于制定了啥的执行的情况和操作了啥的操作记录进行审计,这是广义的安全审计。狭义上的安全审计主要是指信息安全相关的内容。
安全审计工作流程一般遵循制定计划、执行审计、审计结果、跟踪整改、审计完成等步骤。根据实际情况,先制定审计计划,审计计划要求包括审计频率、审计内容、审计对象等。
一般在执行审计的时候,会出现临时搭建应对审计的测试环境,这是非常不可取的。要求审计的对象必须是真实的生产环境和实际的工作内容。除了对当前操作、当前日志审计外,还需审计是否具备历史记录等。
广义的审计计划可以包括漏洞扫描计划,定期对公司系统进行漏洞扫描,及时处理潜在漏洞,不过一般也会在安全策略会指定每隔多久进行一次漏洞扫描的策略。
(3)安全分析
安全分析有一部分包括安全审计的结果,这部分主要是对公司安全执行情况相关的分析;还有一部分公司的安全设备、安全感知平台等记录的公司遭受攻击的数据信息;另外,公司历史安全事件记录公司已经产生的安全事件,这也是作为安全数据分析的内容。
通过安全分析,数字化、图形化的展示公司安全体系运行情况和公司安全运行情况,对公司的问题和风险进行查漏补缺,推动安全体系的建立和完善。
(4)安全绩效考核
安全绩效考核的目的主要是促进员工、组织、系统和设备的安全完善建设。由此可见,安全绩效考核的主体主要是个体员工、组织部门、各类型系统和各种安全设备。
对不同考核对象,采用不同维度的考核指标,这要求安全管理人员必须结合实际情况建立起一套被多数认可、赏罚分明且容易执行的安全绩效考核方案。通过考核促进整个信息安全的建设工作。
三、总结
安全体系的建设是一个相对比较漫长且需要不断学习、不断修改完善的过程。公司全员与信息安全息息相关,几乎人人有责。作为企业信息安全建设者,更多的是做安全防守,从人、事、物三个方面进行安全建设,培训好人,按规做事,按规用物,同时借助专业的安全检测和安全防护设备和手段,构筑企业安全壁垒。
在物理安全上,互联网企业对物理安全的重点更多是依赖云防护或是托管在IDC机房的安全防护手段。对于互联网企业的安全建设过程中,例如电商平台,更多可能是偏向与业务安全有关的防护,例如建立业务风控模型,有效避免被薅羊毛,恶意刷单、交易抵赖等与业务相关的安全风险。
在业务安全上,这本身也是一件比较有意义的事情,防护以及落地需要安全工程师、业务人员、开发测试人员等共同参与进来。例如电商平台恶意刷单的场景,需要通过采集买卖家的账户、密码、电话信息、收发件人地址、电话信息、交易频次交易内容等等一系列相关信息建立起比对模型,判断买卖家是否存在恶意刷单的行为,同时判断出刷新行为的时候,在下单时进行阻止,避免恶意行为实质产生。
由此可见,业务防护不单单是安全部门的事情,与业务部门、开发部门等密切相关,相互配合,在资深的业务背景下,借助技术手段建立起业务安全防护。
现阶段很多传统意义的企业也已经逐渐建有自身的互联网平台,所以在构筑企业安全体系的时候,也要根据企业自身的互联网属性,建立业务安全防护,避免企业遭受业务安全相关的攻击。而业务安全防护在建立企业安全体系中往往容易被忽略,这本身需要安全工程师或安全管理者对业务知识有比较高深的理解,以及与关联部门共同建立起业务安全防护。
企业信息安全建设,必须立足于企业实际情况和业务发展情况,同时借助先进的技术手段,建立起立体安全壁垒,保障信息和数据的安全稳定运行。
CIO之家 www.ciozj.com 公众号:imciow